Organization のセキュリティおよび分析設定を管理する

セキュリティおよび分析設定の管理について

GitHub を使用して、Organization のリポジトリを保護できます。 Organization でメンバーが作成する既存または新規のリポジトリすべてについて、セキュリティおよび分析機能を管理できます。

セキュリティと分析の設定を表示する

GitHub Enterprise Server の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。

2. 組織の隣の [設定] をクリックします。
サイドバーの [セキュリティ] セクションで、 [コードのセキュリティと分析] をクリックします。

表示されるページでは、Organization 内のリポジトリのすべてのセキュリティおよび分析機能を有効化または無効化にできます。

GitHub Advanced Security のライセンスを持っている場合、ページには Advanced Security 機能を有効化または無効化するオプションも含まれます。 GitHub Advanced Security を使用するリポジトリは、ページの下部に一覧表示されます。

既存のすべてのリポジトリの機能を有効または無効にする

すべてのリポジトリの機能を有効化または無効化できます。

注: GitHub Advanced Security を有効にした場合、これらのリポジトリに対するアクティブなコミッターは、GitHub Advanced Security のライセンスを使います。ライセンスの容量を超えた場合、このオプションは非アクティブになります。

注: "Organization のポリシー設定が原因で、GitHub Advanced Security を有効にできません" というエラーが発生した場合は、Enterprise 管理者に問い合わせて、Enterprise の GitHub Advanced Security ポリシーを変更するように依頼してください。詳しくは、「エンタープライズのコードセキュリティと分析のためのポリシーの適用」を参照してください。

組織のセキュリティと分析の設定に移動します。詳細については、「セキュリティと分析の設定を表示する」を参照してください。
[Code security and analysis] の下で機能の右にある [Disable all] または [Enable all] をクリックします。 GitHub Advanced Security に空きライセンスがない場合、"GitHub Advanced Security" のコントロールは無効になります。
[すべて有効にする]/[すべて無効にする] または [対象リポジトリの有効化]/[対象リポジトリの無効化] をクリックして、変更を確定します。

既存のリポジトリで1つ以上のセキュリティ及び分析機能を有効化すると、数分のうちにGitHub上に結果が表示されます。

既存のすべてのリポジトリは、選択された設定を持ちます。
新しいリポジトリのチェックボックスをオンにした場合、新しいリポジトリは選択した構成に従います。
有効化すると、Dependabot セキュリティ更新プログラムは、Dependabot alerts がトリガーされたときに、脆弱な依存関係をアップグレードするための pull request を作成します。

新しいリポジトリが追加されたときに機能を自動的に有効化または無効化する

組織のセキュリティと分析の設定に移動します。詳細については、「セキュリティと分析の設定を表示する」を参照してください。
"Code security and analysis（コードのセキュリティと分析）"の下で、機能の右から、Organizationの新しいリポジトリでデフォルトでこの機能を有効化もしくは無効化してください。

Dependabot のプライベート依存関係へのアクセスを許可する

Dependabot は、プロジェクト内の古い依存関係参照をチェックし、それらを更新するためのプルリクエストを自動的に生成できます。これを行うには、Dependabot がすべてのターゲット依存関係ファイルにアクセスできる必要があります。通常、1 つ以上の依存関係にアクセスできない場合、バージョン更新は失敗します。詳しくは、「GitHub Dependabot のバージョンアップデートについて」を参照してください。

デフォルトでは、Dependabot はプライベートリポジトリまたはプライベートパッケージレジストリにある依存関係を更新できません。ただし、依存関係が、その依存関係を使用するプロジェクトと同じ Organization 内のプライベート GitHub リポジトリにある場合は、ホストリポジトリへのアクセスを許可することで、Dependabot がバージョンを正常に更新できるようにすることができます。

コードがプライベートレジストリ内のパッケージに依存している場合は、リポジトリレベルでこれを設定することにより、Dependabot がこれらの依存関係のバージョンを更新できるようにすることができます。これを行うには、リポジトリの dependabot.yml ファイルに認証の詳細を追加します。詳しくは、「dependabot.yml ファイルの構成オプション」を参照してください。

Dependabot がプライベート GitHub リポジトリにアクセスできるようにするには：

組織のセキュリティと分析の設定に移動します。詳細については、「セキュリティと分析の設定を表示する」を参照してください。
[Dependabot プライベートリポジトリアクセス] で、 [プライベートリポジトリの追加] または [内部およびプライベートリポジトリの追加] をクリックします。
許可するリポジトリの名前の入力を開始します。
許可するリポジトリをクリックします。
あるいは、リストからリポジトリを差k除するには、リポジトリの右のをクリックします。

Organization 内の個々のリポジトリから GitHub Advanced Security へのアクセスを削除する

[設定] タブから、リポジトリの GitHub Advanced Security 機能へのアクセスを管理できます。詳細については、「リポジトリのセキュリティと分析設定を管理する」を参照してください。ただし、Organization の [Settings] タブから、リポジトリの GitHub Advanced Security 機能を無効にすることもできます。

組織のセキュリティと分析の設定に移動します。詳細については、「セキュリティと分析の設定を表示する」を参照してください。
GitHub Advanced Security が有効になっている Organization 内のすべてのリポジトリのリストを表示するには、「GitHub Advanced Security リポジトリ」セクションまでスクロールします。テーブルには、各リポジトリの一意のコミッターがリストされています。これは GitHub Advanced Security へのアクセスを削除することによって解放できるライセンスの数です。詳しくは、「GitHub Advanced Security の課金について」を参照してください。
あるリポジトリから GitHub Advanced Security へのアクセスを削除し、そのリポジトリに固有のアクティブコミッターによって使用されているライセンスを解放するには、隣にあるをクリックします。
確認ダイアログで、 [リポジトリの削除] をクリックして、GitHub Advanced Security の機能へのアクセスを削除します。

注: リポジトリの GitHub Advanced Security へのアクセスを削除する場合は、影響を受ける開発チームと連絡を取り、変更が意図されたものかを確認する必要があります。これにより、失敗したコードスキャンの実行をデバッグすることに時間を費すことがなくなります。